Facebook, YouTube e Instagram se han convertido en plataformas que literalmente catapultaron a ciertas personas al estrellato, otorgándoles el galardón de “Influencers”. Es tal la cantidad de seguidores que cosechan y el dinero que se mueve a su alrededor, que los cibercriminales han enfocado su mira en ellos, poniendo en práctica estrategias y engaños que les permitan sacar su propia tajada económica.
En este artículo analizaremos cuáles son las tácticas más frecuentes utilizadas por los ciberatacantes para acceder al dinero y de qué manera los influencers pueden estar más protegidos.
Un negocio redondo (también para el cibercrimen)
Según el sitio HubSpot, existen varias categorías de influencers según la cantidad de seguidores y tan es así que dependiendo de ello (y de otros factores) “un nanoinfluencer gana entre 10 y 100 USD, un micro entre 100 y 500 USD, y un macro entre 5000 y 10.000 USD por publicación”.
El mercado mundial de marketing de influencers, que en el año 2022 fue valuado en 33.200 millones de dólares, seguirá creciendo exponencialmente. De hecho, se espera que para el año 2032 roce los 200 mil millones de dólares
Todas estas cifras que sirven para dimensionar la magnitud del mundo de los y las influencers también sirvió como cebo para que los cibercriminales comiencen a buscar (e implementar) estrategias para sacar un rédito económico.
Como veremos a continuación, la ingeniería social es una de las herramientas preferidas de los ciberatacantes para vulnerar a los influencers, que muchas veces no tienen ni los recursos ni los conocimientos que empresas tienen habitualmente para protegerse. Así, acceder al dinero se les puede tornar mucho más sencillo. Casos reales, lamentablemente, hay muchos…
El falso podcast
Hannah Shaw es popularmente conocida en las redes sociales como la “Dama Gatita”: su pseudónimo se debe a que en sus videos enseña a las personas cuáles son los cuidados adecuados para los gatos recién nacidos. Gracias a sus fieles seguidores (más de un millón), supo recaudar importantes cifras para ayudar a rescate de estos animales y a refugios.
Viendo en la popularidad de Shaw una veta para sacar un rédito económico, los ciberatacantes posaron su mira en ella. Y gracias a una técnica de ingeniería social lograron apoderarse de su cuenta comercial de Meta. Es decir, de su fuente mayor de ingresos.
¿Cómo lo lograron? Simulando ser conductores de un podcast. En la previa y para coordinar los detalles de la entrevista, los actores maliciosos invitaron a la víctima a una llamada de Zoom. Allí, solicitaron a Shaw acceso a la configuración de Facebook Live con la excusa de generar ingresos y ella accedió pensando que era parte normal del proceso.
Lo cierto es que en ese momento, los ciberatacantes tomaron poder de la cuenta en calidad de Administrador, dejando limpia la página para sustituirlos por enlaces falsos que en realidad direccionaban a sitios para generar ingresos fáciles y rápidos con publicidad.
Embajadores pero de la estafa
Los “Finfluencers” son un subgrupo de influencers dedicado especialmente a la industria de las finanzas. En sus cuentas, brindan asesoramiento económico, consejos y tips a su gran cantidad de seguidores con el objetivo de que puedan hacerse ricos rápidamente, inviertan en acciones o criptomoneda y puedan implementar una planificación financiera.
En este caso, los cibercriminales (y también valiéndose de la ingeniería social para lograr su cometido), ofrecían una falsa oportunidad laboral para que los finfluencers se conviertan en embajadores de una marca y promocionen los productos de la misma.
Lo cierto es que el objetivo final de los atacantes es hacerse de la información personal y financiera de sus víctimas. Con la excusa de necesitar esos datos para hacer el pago del supuesto trabajo, con esa información en sus manos podían desde vaciar sus cuentas bancarias hasta tomar el control de sus redes sociales.
El malware siempre presente
Otros influencers han sido atacados con malware, ya sea por la descarga de algún archivo malicioso o un clic en un enlace también apócrifo. Así, los ciberatacantes pueden tomar el control muy fácilmente de las cuentas y manejarlas a su placer.
¿Cómo? Publicando contenidos que nada tiene que ver con el que comparte el influencer normalmente, borrando todo el contenido que había disponible, y hasta cambiando el logo y el nombre de las cuentas. También es común que los actores maliciosos pidan sumas exorbitantes de dinero para que la víctima pueda recuperar la potestad de sus redes sociales.
Suplantación de identidad con suspensión incluida
Otra de las técnicas que se conoció en el último tiempo puntualmente en Instagram consiste en que los ciberatacantes duplican la cuenta original del influencer y piden su suspensión. Para ello, o bien adquieren una cuenta verificada, cambian la biografía e imagen de usuario, para luego presentar un informe a aduciendo que en realidad la víctima se está haciendo pasar por él. Y si no, realizan un “ataque de spam” contra la cuenta, denunciándola, ya sea por mostrar imágenes de desnudez o violar algún derecho de autor.
¿El final de la historia? Cuando el atacante logra que la cuenta sea suspendida, se comunica con la víctima para ofrecerle el desbloqueo de la cuenta siempre y cuando pague cierto monto de dinero
Los seguidores, también en la mira
La suplantación de identidad es otra de las técnicas utilizadas en el ámbito de las redes sociales, pero en este caso las víctimas son los seguidores.
Es normal que los influencers lancen sorteos, los cuales generan un nivel de interacción y movimiento desmedido. Allí entran en juego los ciberdelincuentes, que crean una cuenta duplicada que se hace pasar por la original, y desde allí contacta a los usuarios informando que han ganadores del sorteo. ¿El objetivo? Acceder a la información personal y financiera de sus víctimas.
¿Qué pueden hacer los influencers para protegerse?
Más allá de todas estas estrategias que existen actualmente, los influencers pueden tomar acciones concretas para no ser una víctima más de los engaños de los ciberatacantes. Aquí van algunas buenas prácticas para tener en cuenta:
- Desconfiar como primera medida, si una oferta laboral o posibilidad comercial parece demasiado bueno para ser verdad, probablemente no lo sea.
- No brindar información personal ni financiera sin tener confirmado que del otro lado existe una posibilidad real y verdadera del otro lado. Una buena investigación es la mejor aliada, como también el contactar con la empresa para confirmar la oferta.
- No dejar que ninguna persona, empresa o aplicación realice publicaciones en sus redes sociales.
- Utilizar en todas las cuentas contraseñas únicas, robustas, extensas y seguras (con mayúsculas, caracteres especiales y números), y cambiarlas periódicamente.
- Prestar atención y analizar de manera atenta y cuidadosa antes de hacer clic en cualquier enlace que llega de manera inesperada.
- Por último y siempre muy importante, contar con una solución de seguridad que brinde protección integral consumiendo menos recursos.
